RETROALIMENTACIÓN DE LOS EJERCICIOS DE LA SEMANA 2 USANDO LAS EVIDENCIAS DE ALGUNOS COMPAÑEROS El este documento encontrará los ejercicios de la semana 2, realizados por algunos compañeros, los cuales les recomiendo leer, utilizar para guiarse en el desarrollo de estas actividades y adquirir una retroalimentación extra.
HAROLD AGUIRRE ARCILA EJERCICIO 1 FACTORES DE RIESGO: Interrupción RECURSO AFECTADO
Servicio
Físico
NOMBRE CAUSA EFECTO Comunicación en El sistema de software Colapso, no se puede general (tanto dentro que administraba la prestar el servicio ya de cada sucursal como información fue que no se puede ver la entre ellas) infiltrado y información ni ralentizado. modificarla Cableado y sistema de La falta de No se puede enviar ni antenas. mantenimiento del recibir información. cableado y las antenas.
Intercepción RECURSO AFECTADO Lógico
NOMBRE Infiltración al servidor central.
Servicio
No llega al receptor la información.
CAUSA Espías en el sistema. Instalación de software de re‐ direccionamiento.
EFECTO Duplicado de la información con fines malintencionados. Inconformismo de los usuarios.
SENA. De clase mundial Developed by Roymer Romero Algarín - rromeroalg@misena.edu.co - 2012 SENA Centro Comercio y Servicios – Regional Atlántico
Modificación RECURSO AFECTADO
NOMBRE
CAUSA
Servicio
Pagina web.
Infiltración y manipulación de la misma.
Lógico
Error en la relación de datos.
Virus.
RECURSO AFECTADO
NOMBRE
CAUSA
Servicio
Pagina web
Infiltración y manipulación de la misma.
Lógico
Software de la empresa.
EFECTO Los usuarios no pueden ingresar ni observar la información deseada. Información no correspondiente al usuario en cuestión.
Producción EFECTO Alteración en los precios de los servicios que ofrece la empresa
Hay logrado romper la seguridad y ralentizar Lentitud en el servicio todos los procesos al cliente que se llevan
ALGORITMO P‐C WRi=Ri*Wi RECURSO DEL SISTEMA Riesgo (Ri)
Importancia (Wi)
Riesgo evaluado (Ri*wi)
Numero
Nombre
1
Servidor central *
8
1
8
2
Antenas
5
0.3
1.5
3
Equipos de computo
5
0.3
1.5
SENA. De clase mundial Developed by Roymer Romero Algarín - rromeroalg@misena.edu.co - 2012 SENA Centro Comercio y Servicios – Regional Atlántico
4 5 6
cableado Conexión eléctrica Personal propio
7
0.3
2.1
6
0.2
1.2
7
0.5
3.5
*servidor central: existen varios servidores centrales en nuestro sistema de red hay uno por cada sucursal, uno por cada ciudad para reunir la información de las sucursales de esta ciudad y hay otro para la información general del país. O sea nuestro sistema puede llegar a ser vulnerable.
EJERCICIO 2 EQUIPO (PROTECCIÓN FÍSICA): Alcance: Estas directrices se implementaran en toda la planta y a todas las sucursales de la empresa con vinculación a las áreas que interactúan con los equipos de cómputo. Objetivo: Prestar seguridad física a los equipos de cómputo de la empresa tanto de amenazas internas como de amenazas externas para así garantizar la confiabilidad de la información evitando su alteración o posible duplicación lo que conllevaría a graves consecuencias de seguridad para los clientes como para la empresa. Responsables: La seguridad de cada equipo recae principalmente sobre el personal al cual se le ha confiado este para su uso y trabajo, ya que la integridad física del equipo beneficia o perjudica su labor, además de tener seguridad privada y todo un sistema de monitoreo al servicio de la empresa para conservar sus recursos y activos fijos intactos. SENA. De clase mundial Developed by Roymer Romero Algarín - rromeroalg@misena.edu.co - 2012 SENA Centro Comercio y Servicios – Regional Atlántico
POLITICAS: 1.
Todos los equipos de cómputo tienen un responsable el que deberá velar por su buen uso.
2. Las áreas donde se tiene equipo de propósito general cuya misión es critica estarán sujetas a los requerimientos de la dirección o administración de la empresa. 3. Los accesos a las áreas críticas deben ser solo permitidos al personal autorizado por la dirección o administración de la empresa. 4. La dirección o la administración será la única que tendrá acceso a los demás equipos de cómputo que están unidos a la red sin ninguna restricción. 5. Considerando la gran importancia de la información que almacenan los equipos como los servidores de la empresa, las oficinas van a ser protegidas por medio de cámaras de seguridad ubicadas en lugares estratégicos, más puertas eléctricas que se abrirán desde adentro y que solo algunas personas (las más confiables) conservaran las llaves de acceso desde el exterior. CONTROL DE ACCESOS (TÉCNICAS O LÓGICAS): Alcances: Las siguientes políticas se implementaran a solo aquellas áreas de trabajo donde se tenga constante contacto con la información clasificada de la empresa que representen un riesgo para la misma. Objetivos: Minimizar la obtención de información privilegiada por personal no autorizado y no facilitar las actividades perjudiciales por parte del operario y/o usuario de la empresa. Responsables: El compromiso por parte de los técnicos en soporte y mantenimiento de los equipos debe ser total, la entrega y la honestidad de estos debe ser irrevocable para que las políticas aquí consignadas se manejen correctamente. SENA. De clase mundial Developed by Roymer Romero Algarín - rromeroalg@misena.edu.co - 2012 SENA Centro Comercio y Servicios – Regional Atlántico
POLITICAS:
1. Cada usuario y/o operario tendrá una contraseña la cual será en determinados tiempos modificada. 2. La información que contengan los equipos de cómputo más relevante y que no sea necesaria para los procesos que lleva a cabo ese operario o usuario serán removidos del equipo como medida preventiva. 3. Se hará constante monitoreo a la información que maneja cada operario y su computador para así ir filtrando la información que este maneja y no permitir que se maneje información indebida en el área que no corresponde que podría ser utilizada con finalidades perversas para la empresa. 4. Solo el personal de mantenimiento podrá tener conocimiento de las claves de acceso a los computadores de la empresa o de un área en especial, lo que le atribuye una gran responsabilidad a estas personas. 5. Se creara una relación muy sincera tanto hasta de confidencialidad entre los trabajadores para así detectar los posibles malos usos de información clasificada entre área y área de trabajo. 6. Restringir los permisos al personal que no pertenezcan a estas áreas de trabajo solo en las condiciones excepcionales que consideren la administración y/o la dirección de la empresa. UTILIZACIÓN DE LOS RECURSOS DE LA RED (ACCESO A LOS ACTIVOS Y RECURSOS): Alcances: Todo el personal asignado a las tareas de oficina, ya que son los mas relacionados con la recepción y emisión de información que se debe prevenir de ser alterada, extraviada u omitida, lo que los hace el foco de las presentes políticas dirigidas a la utilización de los recursos de la red. Objetivos:
SENA. De clase mundial Developed by Roymer Romero Algarín - rromeroalg@misena.edu.co - 2012 SENA Centro Comercio y Servicios – Regional Atlántico
Garantizar el mejor flujo posible de información explotando de la mejor forma las capacidades que nos ofrece el sistema de redes y reduciendo lo máximo posible los errores humanos para así conseguir la confiabilidad, eficacia y rapidez en el proceso de comunicación. Responsables: La responsabilidad de la correcta implementación de estas políticas es muy general (para los oficinistas) pero hay personal que tiene un grado mayor de responsabilidad como son el comité (se podría decir así) de formación y sensibilización, por el rol de difusión que tienen en cada una de sus áreas de trabajo. POLITICAS 1. Invalidar las opciones de ingreso por parte de otros usuarios de la empresa a la red por medio de sus equipos permitiendo ingresar a bases de datos y software con ciertos privilegios y poder perjudicar considerablemente la empresa. 2. Codificar de maneras diferentes el acceso a los servidores y sistemas que puedan arriesgar la integridad de la información. 3. Crear un grupo de seguridad compuesto por un representante de cada área de trabajo para impartir capacitaciones acerca del manejo de la comunicación de la empresa solo para darle un manejo óptimo a toda la infraestructura de la red. 4. Instalación de antispyware y cortafuegos, mas la constante supervisión de los sistemas de comunicación para coaptar a posibles infiltrados en el sistema por parte de un cuerpo especializado en seguridad informática de la empresa. SOFTWARE (INTEGRIDAD DE PROGRAMAS, FICHEROS Y DATOS): Alcances: Todo el personal asignado a las tareas de oficina, ya que son los directamente afectados si llegara a suceder algo con alguno de los software que utilizan para sus diversos procesos. Objetivo: SENA. De clase mundial Developed by Roymer Romero Algarín - rromeroalg@misena.edu.co - 2012 SENA Centro Comercio y Servicios – Regional Atlántico
Garantizar el óptimo rendimiento de los softwares de la empresa vitales para sus operaciones y funciones tanto al interior, como los ofrecidos. Responsabilidad: El compromiso por parte de los técnicos en soporte y mantenimiento de los equipos debe ser total, la entrega y la honestidad de estos debe ser irrevocable para que las políticas aquí consignadas se implementen correctamente. POLITICAS: 1.
Restricción de ingreso a determinados equipos por medio de la red.
2.
Contraseñas para el ingreso a los equipos.
3.
Minimización de privilegios que el sistema pudiese brindar.
4. Manejar pocos responsables que administren las contraseñas para así aumentar el peso de su responsabilidad. 5.
Mantener actualizado el sistema de antivirus y antispyware.
6.
Hacer constantes copias de seguridad de la información.
7.
Obtener las últimas versiones estables de los programas utilizados en la empresa.
SUPERVISIÓN Y EVALUACIÓN (AUDITORIAS Y ALARMAS) Alcance: Todos los campos de trabajo puesto que de cada uno se elegirá uno para tener una persona con los suficientes criterios de evaluación para dar un dictamen de la evolución o por el contrario del retroceso en la practica de las políticas. Objetivo:
SENA. De clase mundial Developed by Roymer Romero Algarín - rromeroalg@misena.edu.co - 2012 SENA Centro Comercio y Servicios – Regional Atlántico
Alcanzar la evaluación más profunda posible acerca de cuales son los problemas que pueden estar presentando alguna de las áreas implicadas con el manejo de la información y la vulnerabilidad de la empresa frente a ese tipo de información. Responsables: Las directivas, los representantes de cada área de trabajo que se considere que deba pertenecer al grupo trabajo. POLITICAS 1. Se creara un grupo de trabajo interdisciplinario para bridar auditoria a las diferentes áreas de trabajo de la empresa, para así periódicamente hacer evaluaciones y si es necesario crear nuevas políticas que den respuestas a los inconvenientes que se presentasen en sus respectivas áreas. 2. Dar informe extraordinario si es el caso de alguna alteración de seguridad sin importar el área de trabajo que sea, si se ha evaluado su pertinencia para prestarle atención y dar pronta solución. 3.
Dar apoyo entre áreas para la implementación de las políticas y su posterior evaluación.
4. Concebir la mejor metodología para la corrección de algún percance que tenga que ver con el entendimiento de las políticas y/o su implementación.
EJERCICIO 3 PROCEDIMIENTOS POR CATEGORIAS EQUIPO (PROTECCIÓN FÍSICA): 1)
Campaña de concientización del buen uso de los equipos de cómputo.
2) Diseño de requerimientos y permisos por parte de las directivas y la administración para el acceso a las oficinas o mas lugares que manipulen computadores. SENA. De clase mundial Developed by Roymer Romero Algarín - rromeroalg@misena.edu.co - 2012 SENA Centro Comercio y Servicios – Regional Atlántico
3) Dar a conocer a la dirección y/o administración de la forma de ingresar a los demás equipos para las necesidades que se puedan presentar. 4) Instalación de cámaras y software para la administración de la seguridad de ciertos sitios por parte ya sea de la seguridad privada que se contrate, o por la administración o directivas de la empresa. CONTROL DE ACCESOS (TÉCNICAS O LÓGICAS): 1) Impartir capacitaciones a todo aquel personal que tenga una relación directa con los equipos de cómputo de la empresa acerca de la información que es de interés de otras áreas y así limitar la entrega de información que entre área y área que no sea necesaria y que represente un riesgo. 2) Dar a conocer al resto del personal que no interactúa con los sistemas sus restricciones de ingreso a ciertos lugares. 3)
Manejo de contraseñas.
UTILIZACIÓN DE LOS RECURSOS DE LA RED (ACCESO A LOS ACTIVOS Y RECURSOS): 1) Conformación de comité de difusión y sensibilización de las políticas concernientes a esta área. 2)
Limitación de privilegios.
3)
Diseño de claves de seguridad.
4)
Instalación de software contra programas malintencionados (virus).
SOFTWARE (INTEGRIDAD DE PROGRAMAS, FICHEROS Y DATOS): 1)
Disponer de un equipo de técnicos en soporte y mantenimiento de software.
SENA. De clase mundial Developed by Roymer Romero Algarín - rromeroalg@misena.edu.co - 2012 SENA Centro Comercio y Servicios – Regional Atlántico
2) Restringir el ingreso a los diferentes software de tal forma de que personal no autorizado acceda a información privilegiada. 3)
Actualizar el software de trabajo de la empresa en conjunto con los antivirus.
SUPERVISIÓN Y EVALUACIÓN (AUDITORIAS Y ALARMAS): 1) Elegir los individuos que harán parte del grupo de evaluación del proceso de implementación de políticas. 2)
Reuniones periódicas del grupo de evaluación.
3) Socializaciones de las reflexiones y acuerdos a los que se lleguen en las reuniones del grupo de evaluación. 4)
Hacer las correspondientes correcciones a las diferentes situaciones que se expongan.
SENA. De clase mundial Developed by Roymer Romero Algarín - rromeroalg@misena.edu.co - 2012 SENA Centro Comercio y Servicios – Regional Atlántico
JUAN CARLOS GUTIERREZ EJERCICIO 2 Tabla de Contenido 1.
Introducción
2.
Políticas de Seguridad PSI
a.
Equipo (Protección física)
b.
c.
d.
I.
Alcance
II.
Objetivos de la política
III.
Responsabilidades
IV.
PSI
Control de acceso (Técnicas ó lógicas) I.
Alcance
II.
Objetivos de la política
III.
Responsabilidades
IV.
PSI
Utilización de recursos de red (Acceso a los activos y recursos) I.
Alcance
II.
Objetivos de la política
III.
Responsabilidades
IV.
PSI
Software (Integridad aplicaciones, ficheros y datos) I.
Alcance
SENA. De clase mundial Developed by Roymer Romero Algarín - rromeroalg@misena.edu.co - 2012 SENA Centro Comercio y Servicios – Regional Atlántico
e.
3.
II.
Objetivos de la política
III.
Responsabilidades
IV.
PSI
Supervisión y evaluación (Auditoria y alarmas) I.
Alcance
II.
Objetivos de la política
III.
Responsabilidades
IV.
PSI
Sanciones
1.
Introducción
La falta de políticas y procedimientos en seguridad es uno de los problemas más graves que confrontan las empresas hoy día en lo que se refiere a la protección de sus activos de información frente a peligros externos e internos. La políticas de seguridad son esencialmente orientaciones e instrucciones que indican cómo manejar los asuntos de seguridad y forman la base de un plan maestro para la implantación efectiva de medidas de protección tales como: identificación y control de acceso, respaldo de datos, planes de contingencia y detección de intrusos. SENA. De clase mundial Developed by Roymer Romero Algarín - rromeroalg@misena.edu.co - 2012 SENA Centro Comercio y Servicios – Regional Atlántico
2.
Políticas de seguridad PSI
a.
Equipo (Protección física)
I.
Alcance
Las políticas de seguridad de la información, en este ámbito deben de ser conocidas y cumplidas por todos los empleados de “En‐Core” sin importar su rol en la entidad. II.
Objetivos de la política
La presente Política de Seguridad de la Información está establecida con el objetivo de asignar las estaciones de trabajo a los usuarios con los menos privilegios posibles tanto física como lógicamente, previniendo algún tipo de riesgo que pueda ocasionar una estación con acceso totales a los medios y sistema. III.
Responsabilidades
Todo empleado con vínculo laboral será responsable de lo que suceda en su estación de trabajo sea cual sea su rol en la entidad. El área de informática, será responsable de que las estaciones de trabajo lleguen a su destino final, cumpliendo todos los requisitos de la PSI. IV.
PSI
‐
Protección con password para el ingreso a la configuración de la Bios
‐
Bloqueo de puertos y medios magnéticos por Bios
‐
Proteger el acceso al hardware interno de los equipos de computo
SENA. De clase mundial Developed by Roymer Romero Algarín - rromeroalg@misena.edu.co - 2012 SENA Centro Comercio y Servicios – Regional Atlántico
b.
Control de acceso (Técnicas o lógicas)
I.
Alcance
Las políticas de seguridad de la información, en este ámbito deben de ser conocidas y cumplidas por todos los empleados de “En‐Core” sin importar su rol en la entidad. Exceptuando los administradores de la infraestructura. II.
Objetivos de la política
Restringir total ó parcialmente el acceso físico y logico a dispositivos importantes en nuestra red, tales como: servidores, router, switches, firewall, bases de datos, vpn, etc. Solo los administradores de la infraestructura contaran con acceso total a estos equipos exceptuando la base de datos, que solo podrá será accedida por el gerente de informática y el director de desarrollo. III.
Responsabilidades
El área responsable de cumplir esta norma a cabalidad, es el área de informática, quienes asignaran los roles necesarios según su cargo, de igual forma se auditora cualquier cambio realizado en cualquiera de estos. IV.
PSI
‐
Crear usuarios de acceso a la red, según sea su rol dentro de la entidad
‐
Bloqueo de cuenta al 5 intento erróneo de contraseña
‐
Configurar contraseñas seguras a todos los equipos sensibles y bases de datos
‐ Implementar sistemas biométricos para controlar y auditar el ingreso a los cuartos de comunicaciones (centros de cómputos) tanto en la sede principal como en las sucursales ‐
Asegurar la conexión por vpn con listas de control de acceso en los firewall de perímetro
SENA. De clase mundial Developed by Roymer Romero Algarín - rromeroalg@misena.edu.co - 2012 SENA Centro Comercio y Servicios – Regional Atlántico
c.
Utilización de recursos de la red (Acceso a los activos y recursos)
I.
Alcance
Las políticas de seguridad de la información, en este ámbito deben de ser conocidas y cumplidas por todos los empleados de “En‐Core” sin importar su rol en la entidad. Exceptuando los administradores de la infraestructura. II.
Objetivos de la política
El objetivo de esta normativa es garantizar la calidad de los servicios informáticos y de comunicaciones y regular el uso de los mismos. Su ámbito de aplicación alcanza a todos los miembros de la entidad III.
Responsabilidades
Todo empleado con vínculo laboral será responsable de lo que suceda en su estación de trabajo sea cual sea su rol en la entidad. El área de informática, Velara y monitoreara el buen uso de los recursos de red, cualquier anomalía es causante de sanción. IV.
PSI
‐ Restringir el envió y recepción de correos que sean ajenos a la entidad, exceptuando aquellos empleados que por su cargo, deben tener constante comunicación con proveedores, aliados, etc ‐
Restringir a máximo 3MB para el envió y recepción de correos internos
‐ Restringir la navegación en internet, bloqueando paginas de pornografía, juegos, redes sociales, correos gratuitos, música, videos, chat, programas p2p ‐
Proteger el acceso al hardware interno de los equipos de computo
‐ Restringir el acceso a medios magnéticos, a demás de bloquear estos puertos por la Bios, se controlara por medio del software DLP (Data Loss Prevention), donde se bloqueara cualquier intento de uso y este automáticamente enviara notificación a los administradores. Los empleados que tienen acceso a estos recursos, el DLP le auditara todo lo que sea movido, copiado, grabado en estos dispositivos. SENA. De clase mundial Developed by Roymer Romero Algarín - rromeroalg@misena.edu.co - 2012 SENA Centro Comercio y Servicios – Regional Atlántico
‐
Bloqueo de la ejecución de cualquier aplicación desde un rol no permitido
‐
Bloqueo de ejecución de procesos e ingreso al registro del sistema operativo
d.
Software (Integridad aplicaciones, ficheros y datos)
I.
Alcance
Las políticas de seguridad de la información, en este ámbito deben de ser conocidas y cumplidas por todos los empleados de “En‐Core” sin importar su rol en la entidad. Exceptuando los administradores de la infraestructura. II.
Objetivos de la política
Garantizar la integridad, confidencialidad, autenticidad y consistencia de la información y de nuestras aplicaciones, garantizando la calidad del servicio tanto interno como externo. III.
Responsabilidades
Todo empleado con vínculo laboral será responsable de lo que suceda en su estación de trabajo sea cual sea su rol en la entidad. El área de informática es el responsable de garantizar la integridad, confidencialidad, autenticidad y consistencia de la información y de nuestras aplicaciones IV.
PSI
‐ Controlar el acceso a la base de datos, solo podrán acceder a ella, el gerente de informática y el director de desarrollo ‐
Restringir la ejecución de procesos e ingreso al registro del sistema operativo
‐ Mantener el acceso a recursos compartidos a solo los usuarios que se le tiene permitido usarla ‐
La instalación de software solo se podrá realizar por personal de Informática
SENA. De clase mundial Developed by Roymer Romero Algarín - rromeroalg@misena.edu.co - 2012 SENA Centro Comercio y Servicios – Regional Atlántico
‐ Cada usuario debe realizar su backup periódicamente llevando el respaldo a un servidor de archivos previamente configurado para accederlo solo y exclusivamente a la carpeta de cada usuario. e.
Supervisión y evaluación (Auditoria y alarmas)
I.
Alcance
Las políticas de seguridad de la información, en este ámbito deben de ser conocidas y cumplidas por las personas administradoras de la infraestructura, garantizando el buen uso de nuestra red. II.
Objetivos de la política
El objetivo de estas políticas, es velar por el buen funcionamiento de nuestra red, optimizar recursos, garantizar accesos a personas autorizadas, actuar proactivamente ante posibles eventualidades, cumplir normativas, etc. III.
Responsabilidades
Todo empleado con vínculo laboral será responsable de lo que suceda en su estación de trabajo sea cual sea su rol en la entidad. El área de informática será responsable de auditar el buen uso de nuestros recursos, configurar notificaciones para actuar proactivamente IV.
PSI
‐
Auditar el uso de los medios magnéticos por medio de DLP
‐ Todo dispositivo sensible, debe tener configurado notificaciones SMTP donde notificara vía mail y celular sobre por cualquier eventualidad al grupo de administradores de la red. SENA. De clase mundial Developed by Roymer Romero Algarín - rromeroalg@misena.edu.co - 2012 SENA Centro Comercio y Servicios – Regional Atlántico
EJERCICIO 3
PROCEDIMIENTOS ‐
Procedimiento de backup´s
‐
Procedimiento verificación estado de los servidores
‐
Procedimiento replicación de la base de datos
‐
Procedimiento para establecer una base del conocimiento
‐
Procedimiento actualización de parces de seguridad
SENA. De clase mundial Developed by Roymer Romero Algarín - rromeroalg@misena.edu.co - 2012 SENA Centro Comercio y Servicios – Regional Atlántico
PAULA ANDREA ZULETA TABARES
EJERCICIO 2 1‐DEL EQUIPO (PROTECCION FISICA) OBJETIVO Establecer normas y procedimientos para preservar la seguridad de los equipos de cómputo y los medios magnéticos. ALCANCE Todo el personal de informática y a los usuarios de los equipos de la sede central. RESPONSABILIDADES Personal que maneja la información. POLITICAS 1‐
Garantizar la seguridad de la información disponible.
2‐
Proteger la información disponible.
3‐
Establecer un esquema de seguridad con perfecta claridad y transparencia.
4‐
Toda la información debe ser manejada por la misma persona
5‐
Mantener claves de acceso que solo las pueden utilizar personal autorizado.
2‐DE CONTROL DE ACCESOS (TECNICAS O LOGICAS) OBJETIVO Controlar y determinar el acceso a la red, hacer un mantenimiento de acceso fijo. ALCANCE Identificar al usuario para acceder a los recursos. SENA. De clase mundial Developed by Roymer Romero Algarín - rromeroalg@misena.edu.co - 2012 SENA Centro Comercio y Servicios – Regional Atlántico
RESPONSABILIDADES
Personal que atiende a los usuarios. POLITICAS 1‐
Proporcionar prioridades.
2‐
Resolver inconvenientes que resulten en un momento inesperado.
3‐
Controlar la seguridad de los datos.
4‐
Aplicar normas de seguridad.
5‐
Comprobar la identidad.
3‐DE UTILIZACIÓN DE LOS RECURSOS DE LA RED (ACCESO A LOS ACTIVOS Y RECURSOS) OBJETIVO Hacer un buen uso de la red, garantizar la calidad de los servicios informáticos y de comunicaciones para regular su uso. ALCANCE Tener recursos seguros para poder acceder a la red sin ningún inconveniente. RESPONSABILIDADES Personal encargado del sistema informático. POLITICAS 1‐
Tener normas para correos electrónicos y redes inalámbricas.
2‐
Usar correctamente las redes.
3‐
Guardar confidencialmente la información con contraseñas.
4‐
Tener la red como núcleo principal para la comunicación.
SENA. De clase mundial Developed by Roymer Romero Algarín - rromeroalg@misena.edu.co - 2012 SENA Centro Comercio y Servicios – Regional Atlántico
4‐DEL SOFTWARE (INTEGRIDAD DE PROGRAMAS, FICHEROS Y DATOS) OBJETIVO Mantener los datos libres de modificaciones no autorizadas, mantener con exactitud la información generada sin ninguna modificación por personas no autorizadas. ALCANCE Ser confiables a la hora que nos den una información y al ser modifica verificar que sea esta persona y no que otra la esta suplantando. RESPONSABILIDADES Personal encargado de la información que el sistema contiene. POLITICAS 1‐
guardar la información para que esta no sea modificada o alterada.
2‐
Controlar que solo personal autorizado pueda acceder a la información.
3‐
Realizar copias de seguridad.
4‐
Conservar los datos para el momento en el que un usuario los actualice.
5‐DE SUPERVICION Y EVALUACIÓN (AUDITORIA Y ALARMAS) OBJETIVO Observar y registrar las actividades que utiliza un programa, supervisar las actividades y hacer la observación pertinente. ALCANCE Supervisar y evaluar los programas que se están manejan. SENA. De clase mundial Developed by Roymer Romero Algarín - rromeroalg@misena.edu.co - 2012 SENA Centro Comercio y Servicios – Regional Atlántico
RESPONSABILIDADES
Personal encargado de la supervisión de los programas. POLITICAS 1‐
Proteger la información frente al tráfico de la red.
2‐
Tener una red de confianza, para utilizar los elementos de confianza.
3‐
Identificar las necesidades.
4‐
Respaldar los objetivos
EJERCICIO 2 PROCEDIMIENTOS 1‐
Autenticar la identidad del usuario cuando se vaya a ingresar al sistema o a la red.
2‐
Autorizar cuando una persona autenticada puede utilizar los recursos de la empresa.
3‐
Definir, mantener y eliminar las autorizaciones de los usuarios.
4‐ Recolectar la información y analizarla para verificar las técnicas de autenticación y autorización. 5‐
Monitorear la información registrada.
6‐ Mantener la información para no sufrir cambios no autorizados, prevenir cambios accidentales. 7‐
Usar firmas digitales.
SENA. De clase mundial Developed by Roymer Romero Algarín - rromeroalg@misena.edu.co - 2012 SENA Centro Comercio y Servicios – Regional Atlántico
WBEIMAR VELOZA SANCHEZ EJERCICIO 1
Para la evaluación del riesgo se escogió una escala de 1 a 10 tanto para Ri como Wi. A continuación se muestra una descripción de la red de la empresa y las tablas con la evaluación del riesgo de las cuatro sedes de la organización.
Aunque pueda parecer una red en estrella no lo es porque todas las comunicaciones en la intranet no deben pasar por un punto central, solo el tráfico entre sedes diferentes, o el tráfico hacia internet. SEDE CENTRAL Recurso del sistema No Nombre
Descripción
Antenas
Enlaces punto a punto con otras sedes
2
Servidor
Pagina web, proxy, firewall, motores de bases de datos
3
Back Up
4
Archivador
1
Información de respaldo de todas las áreas Facturas, ordenes
Riesgo Importancia Riesgo (Ri) (Wi) Evaluado 9
9
Consecuencias
81
Incomunicación
10
10
100
Incomunicación, vulnerabilidad de la red, falta de información
10
9
90
Falta de información
7
4
28
Falta de registros de
SENA. De clase mundial Developed by Roymer Romero Algarín - rromeroalg@misena.edu.co - 2012 SENA Centro Comercio y Servicios – Regional Atlántico
de envío y recepción. 5
6
7
8
9
10
Router
Comunicación con cualquier punto de la red. Firewall
Medio de envío de Switch información por áreas Información clave Bases de para el desarrollo datos de negocios Información personal de Computador trabajo y acceso a la red Información de Correo procesos y electrónico negocios
Software
Desarrollo de tareas. Antivirus
comprobación
9
9
81
No se puede enviar información. Vulnerabilidad de la red a ataques
8
7
56
Incomunicación de un área o grupo de trabajo
8
9
72
Perdida de información de procesos, clientes, negocios e indicadores.
8
8
64
Acceso no autorizado a información
7
7
49
8
8
64
Imposibilidad de desarrollar procesos. Espionaje Retrasos, incumplimientos en tareas y procesamiento de información. Desprotección
Se considera que las sedes Medellín 1 y 2 realizan las mismas operaciones y cuentan con los mismos elementos para la comunicación y procesamiento de información. SEDES MEDELLIN 1 Y 2 Recurso del sistema No Nombre
Descripción
Riesgo Importancia Riesgo (Ri) (Wi) Evaluado
Consecuencias
2
Antenas
Enlaces punto a punto con otras sedes
9
9
81
Incomunicación
1
Archivador
Facturas, ordenes de envío y recepción.
7
4
28
Falta de registros de comprobación
3
Router
Comunicación con
9
9
81
No se puede enviar
SENA. De clase mundial Developed by Roymer Romero Algarín - rromeroalg@misena.edu.co - 2012 SENA Centro Comercio y Servicios – Regional Atlántico
cualquier punto de la red. Firewall
4
Switch
Medio de envío de información por áreas
Información clave para el desarrollo de 5 negocios Información personal 6 Computador de trabajo y acceso a la red Bases de datos
8
7
información. Vulnerabilidad de la red a ataques 56
Incomunicación de un área o grupo de trabajo
8
9
72
Perdida de información de procesos, clientes, negocios e indicadores.
8
8
64
Acceso no autorizado a información
7
Correo electrónico
Información de procesos y negocios
7
7
49
8
Software
Desarrollo de tareas. Antivirus
8
8
64
Imposibilidad de desarrollar procesos. Espionaje Retrasos, incumplimientos en tareas y procesamiento de información. Protección
A continuación se muestra la evaluación de riesgos para la sede de la ciudad de Bogotá. La principal diferencia es que en la ciudad de Medellín las sedes cuentan con antenas para enlaces de comunicación entre las sedes de la ciudad. SEDE BOGOTA Recurso del sistema No Nombre 1
Archivador
2
Router
3
Switch
4
Bases de
Descripción Facturas, ordenes de envío y recepción. Comunicación con cualquier punto de la red. Firewall Medio de envío de información por áreas Información clave
Riesgo Importancia Riesgo (Ri) (Wi) Evaluado
Consecuencias Falta de registros de comprobación No se puede enviar información. Vulnerabilidad de la red a ataques
7
4
28
9
9
81
8
7
56
Incomunicación de un área o grupo de trabajo
8
9
72
Perdida de información
SENA. De clase mundial Developed by Roymer Romero Algarín - rromeroalg@misena.edu.co - 2012 SENA Centro Comercio y Servicios – Regional Atlántico
5
para el desarrollo de negocios Información personal Computador de trabajo y acceso a la red
datos
de ´procesos, clientes, negocios e indicadores.
8
8
64
6
Correo electrónico
Información de procesos y negocios
7
7
49
7
Software
Desarrollo de tareas
8
8
64
Acceso no autorizado a información Imposibilidad de desarrollar procesos. Espionaje Retrasos, incumplimientos en tareas y procesamiento de información
EJERCICIO 2 POLITICAS DE SEGURIDAD DE LA INFORMACION 1.
DEL EQUIPO
1.1
ALCANCE
Esta política se aplica a todos los, equipos de cómputo y comunicaciones, instalaciones, cableado, expedientes y medios de almacenamiento que sean propiedad de la organización. Debe ser conocida y cumplida por toda la planta de personal interno y las personas externas que para la prestación de servicios dentro de la organización hagan uso de los recursos tecnológicos, informáticos y de comunicaciones de esta. 1.2
OBJETIVOS
Gestionar, administrar y mantener en las mejores condiciones los recursos físicos relativos a los sistemas de información de la organización y garantizar de forma adecuada el desarrollo de las actividades de esta. 1.3
RESPONSABILIDADES
El departamento de sistemas de la organización será el encargado de hacer cumplir estas políticas y de realizar un seguimiento adecuado que permita determinar las acciones necesarias para SENA. De clase mundial Developed by Roymer Romero Algarín - rromeroalg@misena.edu.co - 2012 SENA Centro Comercio y Servicios – Regional Atlántico
controlar el estado de los equipos y emitir posibles sanciones a quienes atenten de cualquier forma contra estos activos de la organización. 1.4
PROTECCION FISICA DEL EQUIPO
Los equipos de cómputo y de comunicaciones deben ser instalados en lugares que tengan las condiciones apropiadas de ventilación y protección contra incendios. Los equipos deben tener una conexión eléctrica que cumpla con las normas nacionales y/o internacionales que garanticen su perfecto funcionamiento y un dimensionamiento adecuado de carga en los tomas de corriente y conectores para evitar sobrecargas y daños. El cableado estructurado de la red de la organización que interconecta los equipos de cómputo y de telecomunicaciones deben cumplir con los estándares internacionales ANSI/TEIA‐EIA 568 y 569, así como el estándar ANSI/J‐STD‐607 para los aterramientos de sistemas de telecomunicaciones y calidad de la energía. Estos estándares también incluyen las especificaciones para armarios y gabinetes de equipos de telecomunicaciones. Si estos estándares son actualizados o mejorados, el departamento de sistemas debe realizar las acciones necesarias para que la infraestructura de la organización se mantenga en el marco de las actualizaciones. El departamento de sistemas debe determinar el carácter de uso general o personal de los equipos de cómputo y de telecomunicaciones. La integridad de los equipos de cómputo y de telecomunicaciones de fines específicos y de uso personal será responsabilidad de la persona que normalmente los opera. La integridad de los equipos de cómputo y de telecomunicaciones de uso general será responsabilidad del coordinador de área donde el equipo reside y opera normalmente. La limpieza exterior de los equipos estará a cargo de las personas que los opera normalmente, al menos una vez al año el personal del departamento de sistemas debe realizar limpiezas internas de los equipos para eliminar las acumulaciones de polvo y suciedad y prevenir daños. La reubicación y la actualización de los equipos debe ser autorizada por el departamento de sistemas y las personas que realicen estas tares deben notificar a este departamento una vez realizadas estas. SENA. De clase mundial Developed by Roymer Romero Algarín - rromeroalg@misena.edu.co - 2012 SENA Centro Comercio y Servicios – Regional Atlántico
2.
DE CONTROL DE ACCESOS
2.1
ALCANCE
Esta política incluye a todos los recursos físicos y lógicos relativos a los sistemas de información de la organización. Debe ser conocida y aplicada en todo el ámbito de la organización e incluye personal tanto interno como externo que esté vinculado mediante cualquier tipo de contrato o convenio con la organización y que para el desarrollo de sus labores deba acceder a recursos y áreas consideradas de alta importancia para la organización. 2.2
OBJETIVOS
Registrar y controlar el acceso a recursos y zonas de la organización considerados como críticos para el funcionamiento y la seguridad de la información de esta, así como asegurar su integridad y correcto uso. 2.3
RESPONSABILIDADES
Cada persona será responsable de la confidencialidad de sus atributos de login, password y privilegios de acceso. El departamento de sistemas se encargara de crear, difundir y actualizar estas políticas y de realizar un seguimiento adecuado que permita determinar las acciones necesarias para controlar los métodos de acceso a los recursos y zonas críticas de la organización. 2.4
CONTROL DE ACCESO A RECURSOS Y AREAS
El departamento de sistemas determinara cuales áreas, recursos físicos y lógicos se deben considerar como críticos para el funcionamiento de la organización y la seguridad de la información de esta. Además deberá determinar cuáles personas tienen permiso para acceder a estos mediante la creación y administración de grupos de trabajo o niveles de privilegio para el acceso a los diferentes recursos de la organización. Se debe llevar un registro del tráfico a cargo del departamento de sistemas de las personas a las áreas críticas en el que se indique la persona que tiene el acceso, la hora de entrada y salida. Los equipos denominados como de uso personal serán entregados a cada persona y esta será responsable del buen uso de este, cada usuario debe tener un nombre de usuario y contraseña para acceder a los equipos. SENA. De clase mundial Developed by Roymer Romero Algarín - rromeroalg@misena.edu.co - 2012 SENA Centro Comercio y Servicios – Regional Atlántico
Los ingenieros de redes del departamento de sistemas usaran registros de acceso y uso de los equipos de cómputo y telecomunicaciones para determinar responsabilidades en cuanto al uso inadecuado de estos e intentos de violación de privilegios de cada usuario. El acceso lógico a equipo especializado de cómputo (servidores, enrutadores, bases de datos, equipo de súper cómputo centralizado y distribuido, etc.) conectado a la red será administrado por los ingenieros de redes del departamento de sistemas. También autorizaran el acceso remoto tanto a personal interno como externo mediante asignación de login y password, asignación de canales de tráfico, privilegios y serán responsables de la seguridad de la red para este tipo de accesos. 3.
DE LA UTILIZACION DE RECURSOS DE LA RED
3.1
ALCANCE
Esta política se aplica a todos los recursos físicos y lógicos que hagan parte de la red de comunicaciones de la organización. Debe ser conocida y aplicada por personal tanto interno como externo que esté vinculado mediante cualquier tipo de contrato o convenio con la organización y que para el desarrollo de sus labores deba acceder a recursos físicos y lógicos de la red de comunicaciones de la organización. 3.2
OBJETIVOS
Administrar y asegurar el uso adecuado de los recursos físicos y servicios de la red de comunicaciones de la organización. 3.3
RESPONSABILIDADES
Las personas que usan los equipos de la red de comunicaciones son responsables por su integridad y el departamento de sistemas de la integridad de los servicios de la red. Los ingenieros de redes y el director del departamento de sistemas de la organización serán los encargados de crear, difundir y actualizar estas políticas y de realizar un seguimiento adecuado que permita determinar las acciones necesarias para mantener en buen estado los equipos y servicios de la red de comunicaciones y emitir posibles sanciones a quienes atenten de cualquier forma contra estos activos de la organización. SENA. De clase mundial Developed by Roymer Romero Algarín - rromeroalg@misena.edu.co - 2012 SENA Centro Comercio y Servicios – Regional Atlántico
3.4
USO DE LA RED DE COMUNICACIONES
Los ingenieros de redes y la dirección de sistemas serán los responsables de emitir y actualizar el reglamento para el uso de los recursos de la red. Los recursos de la red de comunicaciones de la organización serán de uso exclusivo para asuntos relacionados con las actividades sustantivas de esta. Corresponde al director de sistemas gestionar y administrar los recursos para mantener la infraestructura de la red de comunicaciones de la organización en óptimas condiciones, actualizarla o mejorarla según las necesidades. Los ingenieros de redes serán los responsables de determinar y mantener las medidas de seguridad de los canales tecnológicos de comunicación en que la información de la organización es transmitida, así como de los servicios de la red. La dirección de sistemas debe propiciar el uso de las tecnologías de la información con el fin de contribuir con las directrices económicas de la organización. El departamento de sistemas se encargara de restringir el acceso a páginas web que considere de contenido inapropiado y que intervenga en el normal desarrollo de las actividades de la organización o cuyo tráfico de datos afecte el rendimiento de la red. Los ingenieros de redes serán quienes implementen las restricciones consideradas. Los ingenieros de redes deberán monitorear el tráfico de la red de comunicaciones, generar informes periódicos, examinar el uso inadecuado de esta y emitir acciones correctivas para garantizar su correcto uso. 4.
DEL SOFTWARE
4.1
ALCANCE
Esta política abarca todo el software usado en equipos de cómputo y de comunicaciones que sean propiedad de la organización y toda la información que sea usada por estos equipos. Debe ser conocida y aplicada por personal tanto interno como externo que esté vinculado mediante cualquier tipo de contrato o convenio con la organización y que para el desarrollo de sus labores
SENA. De clase mundial Developed by Roymer Romero Algarín - rromeroalg@misena.edu.co - 2012 SENA Centro Comercio y Servicios – Regional Atlántico
deba acceder a recursos y procesos lógicos para la manipulación de información concerniente a las actividades de la organización. 4.2
OBJETIVOS
Administrar la adquisición y el uso adecuado de cualquier tipo de software instalado en equipos de cómputo y comunicaciones y garantizar la seguridad de la información de la organización para el desarrollo de las actividades económicas y administrativas de esta. 4.3
RESPONSABILIDADES
Cada persona que haga cualquier uso de la información de la organización será responsable clasificarla, manipularla y transportarla de acuerdo con su grado de criticidad. El departamento de sistemas de la organización será el encargado de hacer cumplir estas políticas y de realizar un seguimiento adecuado que permita determinar las acciones correctivas para garantizar la integridad del software y la información de la organización. 4.4
INTEGRIDAD DEL SOFTWARE Y DATOS
Todo el software propiedad de la institución deberá ser usado exclusivamente para asuntos relacionados con las actividades económicas y administrativas de la organización. La instalación o desinstalación de cualquier software en equipos de la organización debe ser autorizada e informada al departamento de sistemas. El director de sistemas será el encargado de adquirir el software necesario para las actividades de la organización. Todo el software instalado debe ser legal y respetar los derechos de autor. Los ingenieros de sistemas serán los encargados de la instalación, actualización y desinstalación del software usado en todos los equipos de cómputo de la organización. En el caso de software y equipos de comunicaciones serán los ingenieros de redes los responsables. El director del departamento de sistemas junto a los gerentes de área determinarán la clasificación de la información según su criticidad para el funcionamiento de la organización y el trato que se debe dar a cada categoría por parte de quienes la manipulen. Los ingenieros de sistemas administraran las herramientas de antivirus y restringirán el uso de software que consideren como peligroso para la integridad de los equipos y la información de la organización. SENA. De clase mundial Developed by Roymer Romero Algarín - rromeroalg@misena.edu.co - 2012 SENA Centro Comercio y Servicios – Regional Atlántico
5.
DE SUPERVISION Y EVALUACION
5.1
ALCANCE
Los departamentos de control interno y de sistemas deberán cooperar para asegurar el cumplimiento de estas políticas. Debe ser conocida y aplicada por personal tanto interno como externo que esté vinculado mediante cualquier tipo de contrato o convenio con la organización y que para el desarrollo de sus labores deba acceder a los sistemas de información de la organización. 5.2
OBJETIVOS
Realizar un seguimiento a la difusión y cumplimiento de las políticas de seguridad informática de la organización, garantizar los medios para informar las no conformidades y determinar las acciones correctivas necesarias. 5.3
RESPONSABILIDADES
El departamento de control interno de la organización será el encargado de verificar el cumplimiento de estas políticas, de realizar un seguimiento adecuado que permita determinar las acciones correctivas necesarias incluyendo la autorización de una auditoria externa. 5.4
AUDITORIA Y ALARMAS
Cualquier violación a las políticas y normas de seguridad deberá ser sancionada de acuerdo al reglamento emitido por el departamento de sistemas. Estos reglamentos serán desarrollados por los ingenieros de sistemas y de redes y serán autorizados por el director del departamento de sistemas. Los ingenieros de sistemas y de redes deben crear y difundir planes de contingencia que correspondan a las actividades críticas con equipos de cómputo y de comunicaciones respectivamente. Estas políticas de seguridad deberán seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes como lo son el crecimiento de la planta de personal, cambio en la infraestructura computacional, desarrollo de nuevas actividades económicas y administrativas, entre otros. SENA. De clase mundial Developed by Roymer Romero Algarín - rromeroalg@misena.edu.co - 2012 SENA Centro Comercio y Servicios – Regional Atlántico
El departamento de auditorías de control interno de la organización, de acuerdo a sus reglamentos, procedimientos y permisos examinara el cumplimiento de estas políticas de acuerdo a sus calendarios de auditoría y podrá evaluar su pertinencia.
SENA. De clase mundial Developed by Roymer Romero Algarín - rromeroalg@misena.edu.co - 2012 SENA Centro Comercio y Servicios – Regional Atlántico